Envoyer des Mails par TELNET
Dans cette partie je vais vous expliquer comment envoyer des "fakes
mails" (mail
anonyme) avec telnet se trouvant sur tous les PC équipés
de Windaube 9x.
Pour envoyer un mail TOTALEMENT anonyme il vas faloir trouver un serveur
insécurisé
qui ne relevera pas votre IP (Identification Protocol)
N'essayez pas avec www.fbi.gov ça ne marchera pas très
bien :)
Pour cela nous allons utiliser un serveur insécurisé
que voici : obelisk.mpt.com.mk
Lancez Le Ms-DOS et tapez (les ">" ne sont pas a mettre) :
>telnet obelisk.mpt.com.mk 25
Le port 25 étant le port d'envoie des e-mail SMTP
Le serveur autorise la connection et ne demande pas de mot de passe
nous pouvons
donc accéder au serveur. Pour savoir les commandes du serveur
nous allons tapez
HELP une fois la connection établie
>HELP
La le serveur va nous donner toutes les commandes executable, mais elle
ne nous
interesseront pas toutes.
REPONSE SERVEUR:
" Help 214-This SMTP server is a part of the Netscape Mail server systeme.
For 214-information about the Netscape Mail Server, please see http://www.netscape.com
214-
214- Supported commands:
214-
214- EHLO HELO MAIL RCPT DATA
214- VRFY RSET NOOP QUIT
214-
214- SMTP Extension supported through EHLO:
214- EXPN HELP SIZE
214-
214-For more information about a listed topic, use "HELP
<topic£"
214 Please report mail-related problems to Postmaster at this
site "
Pour savoir si le serveur peut reconnaitre l'utilisateur on va utiliser la commande HELO
>helo obelisk.mpt.com.mk
REPONSE SERVEUR:
250 obelisk.mpt.com.mk
-Au lieu de nous logger avec notre IP dans un journal pour savoir les
utilisateur
qui se sont connectés sur sont port 25 il va nous répéter
son nom.
Sinon sa réponse aurai été :
"Hello ACA13BC8.ipt.aol.com [172.161.59.200], pleased to meet you" .
Ce serveur n'ayant pas l'air très sécurisé nous
allons poursuivre dans l'envoie
du fake mail. Pour voir si il vérifie les adresse e-mail vers
qui nous allons
envoyer (ici nous utiliserons mon e-mail: NeOpSyChIx@aol.com) nous
allons taper :
>vrfy NeOpSyChIx@aol.com
Le serveur nous répond:
" 252 Could't verify <NeOpSyChIx@aol.com, but will attempt delivery anyway "
En clair le serveur nous dit qu'il ne peut pas voir si cette adresse
existe mail il va
quand même essayer d'envoyer l'e-mail. Testons, maintenant de
nous faire passer
pour quelqu'un d'autre nous allons prendre l'identité du webmaster
de multimania
dont l'e-mail est : webmaster@multimania.fr (ça peut toujours
servir d'envoyer ça
à un mec dont le site est hébergé par multimania
en lui disant de virer sa page
ou il risque un procès, héhé :-)) pour cela nous
allons tapez:
>MAIL FROM:webmaster@multimania.fr
REPONSE SERVEUR:
250 sender <webmaster@multimania.fr
Le serveur ne s'est pas rendu compte que cet e-mail n'existait pas dans
son
serveur!!!! Donc nous pouvons envoyer des fake mail de se serveur.
Nous tapons l'adresse du destinataire comme ceci:
>rcpt to:NeOpSyChIx@aol.com
REPONSE DU SERVEUR:
250 recipient NeopSyTrOnIx@aol.com, Ok
Le serveur ne c'est pas rendu compte (il s'en fou !!) que nous ne faisions
pas
parti des utilisateurs enregistrés sinon il aurait répondu
"access denied".
Maintenant il ne nous reste plus qu'à ecrire le message:
>Data 354 Ok send data ending with <CRLF>.<CRLF>
Le serveur attend la fin du message et nous indique de finir par un point
>CECI EST UN ESSAIS POUR LE E-ZINE HACKOUSTIK POUR L'ENVOI DE FAKE MAIL
A PARTIR DE TELNET
>.
Validez avec entrer
LE SERVEUR REPOND:
"250 Message received: ACA13BC8.ipt.aol.com [172.161.59.200]
Et Là le serveur a rajouté notre adresse Ip en plus de
l'identification du mail!!!!!
Tandis que quand le message est reçu en en-tête il n'y
as que :
Delivered-To: proxy.aol@blablabla.com
Date: wed, 3 jan 2001 17:54:41 +0100 (CET)
From: webmaster@multimania.com
A l'interieur du message il n'y a rien qui indique notre Ip donc a partir
de ce
serveur nous pouvons envoyer des fakes mails
Voila j'espère que ce cours vous aura montré l'insécurité
de certains serveurs et
l'utilisation de telnet, ceci est dans un but purement éducatif
moi et le e-zine
ne pourons être tenu responsable de l'utilisation de ceci.
@+ NeOpSyChIx